Toelichting bij COM(2025)282 - Ondertekening van de Overeenkomst met Noorwegen over de doorgifte van persoonsgegevens van passagiers (PNR-gegevens) met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2025)282 - Ondertekening van de Overeenkomst met Noorwegen over de doorgifte van persoonsgegevens van passagiers (PNR-gegevens) met het ... |
|---|---|
| bron | COM(2025)282   |
| datum | 12-06-2025 |
1. ACHTERGROND VAN HET VOORSTEL
• Motivering en doel van het voorstel
Het versterken van de internationale samenwerking op het gebied van rechtshandhaving, met inbegrip van informatie-uitwisseling, is essentieel om de dreigingen van terrorisme en ernstige transnationale criminaliteit aan te pakken. In het meest recente verslag van Europol over de dreigingsevaluatie van de ernstige en georganiseerde criminaliteit (Socta) 1 wordt de internationale dimensie geïllustreerd van de activiteiten van organisaties die zich schuldig maken aan de ernstigste vormen van criminaliteit. Daarnaast wordt in het meest recente verslag over de stand van zaken en de tendensen in verband met terrorisme (TE-SAT) 2 niet alleen gewezen op het rechtstreekse verband tussen transnationale reizen en de organisatie van terroristische activiteiten en ernstige criminaliteit, maar ook op het belang van het doeltreffend opsporen, onderzoeken en vervolgen van andere ernstige strafbare feiten voor het voorkomen en opsporen van terroristische misdrijven.
PNR-gegevens omvatten informatie die door passagiers wordt verstrekt en door de vervoerders voor hun eigen commerciële doeleinden wordt verzameld en bewaard in boekings- en vertrekcontrolesystemen. De inhoud van de PNR-gegevens varieert afhankelijk van de informatie die bij het boeken en inchecken wordt verstrekt en kan bijvoorbeeld de reisdata en de volledige reisroute van de passagier of groep samen reizende passagiers omvatten, alsook contactgegevens als adres en telefoonnummer, betalingsgegevens, stoelnummer en bagage-informatie.
Dankzij de verzameling en de analyse van PNR-gegevens kunnen de autoriteiten belangrijke aanknopingspunten vinden voor het opsporen van verdachte reispatronen en het identificeren van medeplichtigen van criminelen en terroristen, met name personen die nog niet bekend waren bij rechtshandhavingsinstanties. De verwerking van PNR-gegevens is dan ook een rechtshandhavingsinstrument dat zowel in de EU als daarbuiten inmiddels veel wordt gebruikt voor het opsporen en voorkomen van terrorisme en andere vormen van ernstige criminaliteit, zoals drugsgerelateerde misdrijven, mensenhandel en seksuele uitbuiting van kinderen. Het is ook een belangrijke bron van informatie gebleken ter ondersteuning van het onderzoek naar en de vervolging van dergelijke illegale activiteiten 3 .
Hoewel van cruciaal belang voor de bestrijding van terrorisme en ernstige criminaliteit, vormt de doorgifte van PNR-gegevens aan derde landen en de verwerking ervan door hun autoriteiten een schending van de bescherming van de rechten van personen met betrekking tot hun persoonsgegevens. Daarom is voor de doorgifte een rechtsgrondslag vereist uit hoofde van het EU-recht en moet zij noodzakelijk en evenredig zijn en onderworpen worden aan strikte beperkingen en doeltreffende waarborgen, zoals gewaarborgd door het Handvest van de grondrechten van de EU, met name in de artikelen 6, 7, 8, 21, 47 en 52. Voor de verwezenlijking van deze belangrijke doelstellingen moet een juist evenwicht worden gevonden tussen de legitieme doelstelling van handhaving van de openbare veiligheid en het recht van eenieder op bescherming van zijn persoonsgegevens en zijn privéleven.
In 2016 hebben het Europees Parlement en de Raad van de Europese Unie Richtlijn (EU) 2016/681 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit vastgesteld (hierna “de PNR-richtlijn” genoemd) 4 . Deze richtlijn schrijft voor onder welke voorwaarden in de Europese Unie PNR-gegevens mogen worden doorgegeven en verwerkt, en bevat belangrijke waarborgen voor de bescherming van de grondrechten, in het bijzonder het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens. In juni 2022 heeft het Hof van Justitie van de EU in zijn arrest in zaak C-817/19 5 de geldigheid en verenigbaarheid van deze richtlijn met het Handvest van de grondrechten van de EU en de Verdragen van de Unie bevestigd.
Noorwegen en de EU-lidstaten die partij zijn bij de Schengenovereenkomst 6 , hebben een gedeelde verantwoordelijkheid om de binnenlandse veiligheid te waarborgen in een gemeenschappelijke ruimte zonder controles aan de binnengrenzen, onder meer door relevante informatie uit te wisselen. De verwerking van PNR-gegevens heeft aangetoond dat het mogelijk is de veiligheid van het Schengengebied te bevorderen door de preventie en opsporing van ernstige criminaliteit en terrorisme aan de buitengrenzen te verbeteren en door te voorzien in een op risico’s gebaseerde gegevensgestuurde aanpak die de lidstaten in het Schengengebied kunnen gebruiken als compenserende maatregel voor de afwezigheid van controles aan de binnengrenzen 7 .
Noorwegen heeft nationale wetgeving inzake PNR-gegevens aangenomen en de Noorse bevoegde autoriteit voor het ontvangen en verwerken van PNR-gegevens over vluchten die aankomen op of vertrekken vanaf zijn luchthavens, is operationeel sinds september 2022.
Krachtens het Unierecht mag de doorgifte van persoonsgegevens van de Unie naar een derde land alleen plaatsvinden indien dat land een niveau van bescherming van persoonsgegevens waarborgt dat in wezen gelijkwaardig is aan het niveau dat binnen de Unie wordt gewaarborgd. In dit verband moet worden opgemerkt dat Noorwegen geen derde land is in de zin van hoofdstuk V van Verordening (EU) 2016/679 8 , aangezien die verordening met aanpassingen is opgenomen in bijlage XI bij de Overeenkomst betreffende de Europese Economische Ruimte (EER). Het in die verordening vastgestelde regelgevingskader is echter niet van toepassing op de verwerking van persoonsgegevens, met inbegrip van PNR-gegevens, door Noorse rechtshandhavingsinstanties met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van strafbare feiten, of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Aangezien Noorwegen krachtens de Schengenassociatieovereenkomst tussen de EU en Noorwegen van 1999 gebonden is door de handelingen van de Unie die een ontwikkeling vormen van de bepalingen van het Schengenacquis, wordt het geacht Richtlijn (EU) 2016/680 op soortgelijke wijze toe te passen als de EU-lidstaten. De PNR-richtlijn vormt echter geen ontwikkeling van het Schengenacquis en derhalve neemt Noorwegen niet deel aan de uitvoering van dit rechtsinstrument.
In deze omstandigheden, namelijk bij gebrek aan passende waarborgen met betrekking tot de specifieke verwerking van PNR-gegevens, die moeten worden vastgesteld door middel van een geldige rechtsgrondslag zoals vereist door de EU-wetgeving, mag Noorwegen PNR-gegevens over vluchten die door luchtvaartmaatschappijen tussen de Unie en Noorwegen worden uitgevoerd, niet rechtmatig ontvangen en verwerken.
In het licht hiervan heeft de Commissie op 6 september 2023 een aanbeveling aangenomen waarin de Raad wordt voorgesteld machtiging te verlenen tot het openen van onderhandelingen over een overeenkomst tussen de Europese Unie en Noorwegen inzake de doorgifte van persoonsgegevens van passagiers (PNR-gegevens) met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit 9 . Tegelijkertijd heeft de Commissie aanbevolen onderhandelingen over dergelijke overeenkomsten met de Zwitserse Bondsstaat 10 en IJsland 11 te openen. Op 4 maart 2024 heeft de Raad machtiging verleend om onderhandelingen te openen en onderhandelingsrichtsnoeren 12 vastgesteld.
Deze overeenkomst heeft tot doel om deze veiligheidskloof in het Schengengebied te overbruggen en de doorgifte van PNR-gegevens van de Unie naar Noorwegen mogelijk te maken, in het besef dat PNR-gegevens moeten worden gebruikt als essentieel instrument in de strijd tegen terrorisme en andere vormen van ernstige criminaliteit.
De onderhandelingen met Noorwegen, IJsland en de Zwitserse Bondsstaat zijn op 21 maart 2024 van start gegaan. Op 9 april 2025 hebben de hoofdonderhandelaars de tekst van de overeenkomst geparafeerd en de onderhandelingen dus formeel afgerond.
De medewetgevers zijn gedurende het gehele onderhandelingsproces geïnformeerd en geraadpleegd in alle stadia van de onderhandelingen, met name door verslag uit te brengen aan de Groep informatie-uitwisseling en binnenlandse zaken (IXIM) van de Raad en de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) van het Europees Parlement.
• Verenigbaarheid met bestaande bepalingen op het beleidsterrein
De Commissie heeft eerst de grote lijnen van het externe PNR-beleid van de EU uiteengezet in een mededeling uit 2003 13 over de EU-aanpak van de doorgifte van PNR-gegevens vanuit de EU aan derde landen; deze werden in een mededeling van 2010 14 herzien. Er zijn momenteel drie internationale overeenkomsten van kracht tussen de EU en derde landen, namelijk Australië 15 , de Verenigde Staten 16 (2012) en het Verenigd Koninkrijk 17 (2020), die betrekking hebben op de doorgifte en verwerking van PNR-gegevens vanuit de EU. Na onderhandelingen naar aanleiding van Advies 1/15 van het HvJ-EU van 26 juli 2017 18 is op 4 oktober 2024 een nieuwe PNR-overeenkomst met Canada 19 ondertekend.
Op internationaal niveau is een toenemend aantal derde landen begonnen capaciteit te ontwikkelen voor het verzamelen van PNR-gegevens van luchtvaartmaatschappijen. Deze trend wordt verder bevorderd door resoluties die door de Veiligheidsraad van de Verenigde Naties (in 2017 en 2019) zijn aangenomen, krachtens welke alle staten de capaciteit moeten ontwikkelen om PNR-gegevens te verzamelen en te gebruiken 20 , en op basis waarvan de Internationale Burgerluchtvaartorganisatie (ICAO) in 2020 normen en aanbevolen praktijken inzake PNR-gegevens (SARP’s) heeft vastgesteld, door middel van amendement 28 op bijlage 9 bij het Verdrag van Chicago, dat in februari 2021 21 van toepassing is geworden.
Het standpunt van de Unie, zoals vastgesteld bij Besluit (EU) 2021/121 van de Raad, verwelkomt de SARP’s van de ICAO inzake PNR-gegevens, die ambitieuze waarborgen inzake gegevensbescherming bevatten en daarmee aanzienlijke vooruitgang op internationaal niveau mogelijk maken. Tegelijkertijd werd in dit besluit van de Raad, door de lidstaten te verplichten kennis te geven van een verschil, geoordeeld dat de vereisten die voortvloeien uit het recht van de Unie (met inbegrip van de relevante jurisprudentie), strenger zijn dan bepaalde ICAO-normen, en dat doorgiften van de EU naar derde landen een rechtsgrondslag vereisen met duidelijke en nauwkeurige regels en waarborgen met betrekking tot het gebruik van PNR-gegevens door bevoegde autoriteiten van een derde land 22 .
De onderhandelingen over en de sluiting van deze overeenkomst maken deel uit van een bredere inspanning van de Commissie om een consistente en doeltreffende aanpak te volgen met betrekking tot de doorgifte van PNR-gegevens aan derde landen, zoals aangekondigd in de strategie voor de veiligheidsunie 2020-2025 23 , voortbouwend op de SARP’s van de ICAO inzake PNR-gegevens, en in overeenstemming met het recht en de jurisprudentie van de Unie. De Raad heeft in zijn conclusies van juni 2021 24 ook om een dergelijke aanpak verzocht.
Hierbij wil de Commissie ook reageren op verzoeken van luchtvaartmaatschappijen om te zorgen voor meer juridische duidelijkheid en voorspelbaarheid met betrekking tot de doorgifte van PNR-gegevens aan derde landen 25 .
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
• Rechtsgrondslag
Artikel 218, lid 5, van het Verdrag betreffende de werking van de Europese Unie (VWEU) voorziet in besluiten “waarbij machtiging wordt verleend tot ondertekening van de overeenkomst en, in voorkomend geval, in afwachting van de inwerkingtreding, tot de voorlopige toepassing ervan.” Aangezien met het voorstel wordt beoogd machtiging te verkrijgen tot ondertekening van de overeenkomst, is de procedurele rechtsgrondslag artikel 218, lid 5, VWEU.
Het voorstel heeft twee hoofddoelstellingen en componenten, één met betrekking tot de noodzaak om de openbare veiligheid te waarborgen door de doorgifte van PNR-gegevens aan Noorwegen, en de andere met betrekking tot de bescherming van de persoonlijke levenssfeer en andere fundamentele rechten en vrijheden van personen. Het voorstel heeft derhalve een dubbele rechtsgrondslag, namelijk artikel 16, lid 2, en artikel 87, lid 2, punt a), van het Verdrag betreffende de werking van de Europese Unie.
• Evenredigheid
De hierboven uiteengezette doelstellingen van de Unie met betrekking tot dit voorstel kunnen alleen worden verwezenlijkt door op het niveau van de Unie een geldige rechtsgrondslag vast te stellen om ervoor te zorgen dat de grondrechten bij doorgiften van persoonsgegevens vanuit de Unie op passende wijze worden beschermd. De bepalingen van de overeenkomst blijven beperkt tot hetgeen nodig is voor de verwezenlijking van de belangrijkste doelstellingen en vormen een goede balans tussen de legitieme doelstelling van handhaving van de openbare veiligheid en het recht van eenieder op bescherming van zijn persoonsgegevens en zijn privéleven.
• Keuze van het instrument
De passende waarborgen die vereist zijn voor de specifieke verwerking van PNR-gegevens die Noorwegen ontvangt van luchtvaartmaatschappijen op vluchten van luchtvaartmaatschappijen tussen de Unie en Noorwegen, moeten worden vastgesteld op basis van een geldige rechtsgrondslag uit hoofde van het EU-recht. Deze overeenkomst vormt een dergelijke rechtsgrondslag voor de doorgifte van PNR-gegevens.
• Grondrechten
De uitwisseling van PNR-gegevens en de verwerking daarvan door de autoriteiten van een derde land vormt een inmenging in het grondrecht op bescherming van het privéleven en gegevensbescherming. Een dergelijke inmenging is echter ook gerechtvaardigd omdat de overeenkomst legitieme doelstellingen nastreeft, namelijk het voorkomen, opsporen, onderzoeken en vervolgen van ernstige criminaliteit en terrorisme. De overeenkomst voorziet in passende waarborgen inzake gegevensbescherming op de doorgegeven en verwerkte persoonsgegevens, conform het EU-recht, met name de artikelen 7, 8, 47 en 52 van het Handvest van de grondrechten van de EU.
3. GEVOLGEN VOOR DE BEGROTING
Het voorstel heeft geen gevolgen voor de begroting van de Unie.
4. OVERIGE ELEMENTEN
• Artikelsgewijze toelichting
De overeenkomst voorziet, in volledige overeenstemming met het Handvest van de grondrechten van de EU, de desbetreffende jurisprudentie van het Hof van Justitie van de EU en de onderhandelingsrichtsnoeren, in een rechtsgrondslag, voorwaarden en waarborgen voor de doorgifte aan en de verwerking door Noorwegen van PNR-gegevens die zijn ontvangen van luchtvaartmaatschappijen uit de Unie.
Artikel 1 bepaalt het toepassingsgebied en de doelstellingen van de overeenkomst.
Artikel 2 bevat belangrijke definities van de overeenkomst, onder meer van de “passagiersinformatie-eenheid” (PIE) van Noorwegen als aangewezen bevoegde autoriteit die verantwoordelijk is voor de verwerking van PNR-gegevens en van de termen “zware criminaliteit” en “terrorisme”, in overeenstemming met de wijze waarop deze begrippen in andere relevante EU-rechtsinstrumenten zijn gedefinieerd.
Artikel 3 regelt de methode en de frequentie van de doorgifte van PNR-gegevens door luchtvaartmaatschappijen aan de Noorse PIE om ervoor te zorgen dat de doorgifte van PNR-gegevens tot het noodzakelijke minimum wordt beperkt en in verhouding staat tot het in de overeenkomst gespecificeerde doel.
Artikel 4 voorziet in een gemeenschappelijke technische oplossing door Noorwegen de mogelijkheid te bieden gebruik te maken van de API-PNR-router die is opgezet overeenkomstig Verordening (EU) 2025/13 26 en zoals bedoeld in artikel 10, punt c), van die verordening.
Artikel 5 stelt de doelbinding – namelijk het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit – uitputtend vast met betrekking tot alle PNR-verwerking die onder de overeenkomst valt.
Artikel 6 bevat de drie specifieke voorwaarden voor de verwerking van PNR-gegevens die in het kader van de overeenkomst door de Noorse PIE worden ontvangen.
Artikel 7 voorziet in aanvullende waarborgen voor de “realtimebeoordeling” en beperkt de geautomatiseerde verwerking van PNR-gegevens.
Artikel 8 voorziet in een verbod op de verwerking van bijzondere categorieën PNR-gegevens in overeenstemming met de wijze waarop dit begrip is gedefinieerd in het EU-acquis inzake gegevensbescherming.
Artikel 9 voorziet in een hoog niveau van beveiliging van PNR-gegevens die in het kader van de overeenkomst worden ontvangen en zorgt ervoor dat inbreuken op de gegevensbeveiliging worden gemeld aan de aangewezen Noorse toezichthoudende autoriteit voor gegevensbescherming.
Artikel 10 voorziet in het bijhouden van logbestanden en documentatie van alle PNR-gegevens.
Artikel 11 bevat regels voor de beperkte opslag van PNR-gegevens om ervoor te zorgen dat die gegevens niet langer worden opgeslagen dan nodig is voor en de opslag evenredig is aan het door deze overeenkomst nagestreefde doel. In overeenstemming met de desbetreffende jurisprudentie van het Hof van Justitie van de Europese Unie vereist deze bepaling een objectief verband tussen de te bewaren PNR-gegevens en de doelstellingen van de overeenkomst, en worden de opslagperioden onderworpen aan regelmatige evaluaties door de Noorse PIE.
Op grond van artikel 12 moet de Noorse PIE PNR-gegevens uiterlijk na 6 maanden depersonaliseren.
Artikel 13 bevat regels en voorwaarden voor de openbaarmaking van PNR-gegevens in Noorwegen, bijvoorbeeld door dergelijke bekendmakingen te beperken tot autoriteiten met taken die verband houden met de doelstellingen van de overeenkomst en door de voorafgaande goedkeuring van een rechterlijke instantie of een andere onafhankelijke instantie voor dergelijke openbaarmakingen te vereisen.
Artikel 14 bevat regels en voorwaarden voor de openbaarmaking van PNR-gegevens buiten Noorwegen en de EU, bijvoorbeeld door dergelijke bekendmakingen te beperken tot derde landen waarmee de EU een vergelijkbare overeenkomst heeft afgesloten of ten aanzien waarvan de EU een toepasselijk adequaatsheidsbesluit heeft aangenomen en door de voorafgaande goedkeuring van een rechterlijke instantie of een andere onafhankelijke instantie voor dergelijke openbaarmakingen te vereisen.
Artikel 15 bevordert de politiële en justitiële samenwerking door de uitwisseling van PNR-gegevens of van de resultaten van de verwerking van PNR-gegevens tussen de Noorse PIE en de PIE’s van de lidstaten van de Unie, alsmede tussen de Noorse PIE enerzijds en Europol of Eurojust binnen hun respectieve bevoegdheden anderzijds.
Artikel 16 bepaalt dat Noorwegen dezelfde rechten en plichten moet toepassen als Richtlijn (EU) 2016/680 op de verwerking van persoonsgegevens in het kader van deze overeenkomst en dat op die verwerking toezicht moet worden gehouden door een onafhankelijke autoriteit die is opgericht overeenkomstig de uitvoering van deze richtlijn door Noorwegen.
Artikel 17 bevat transparantie- en informatieverplichtingen, waaronder de verplichting om personen in kennis te stellen van de openbaarmaking van hun PNR-gegevens.
Artikel 18 voorziet in een verplichting voor Noorwegen om de identiteit van de Noorse PIE en van de nationale toezichthoudende autoriteit mee te delen.
Artikel 19 regelt de inwerkingtreding van de overeenkomst.
Artikel 20 voorziet in mechanismen voor geschillenbeslechting en schorsing.
Artikel 21 voorziet in de mogelijkheid voor elke partij om de overeenkomst te allen tijde te beëindigen.
Artikel 22 voorziet in de bepalingen voor wijzigingen van de overeenkomst.
Artikel 23 betreft de gezamenlijke evaluatie van de uitvoering van de overeenkomst.
Artikel 24 bevat een clausule betreffende de territoriale toepassing van de overeenkomst.